網絡安全等級保護制度作為我國網絡安全的基本國策已經施行多年，隨著今年“等保2.0”的正式頒布，將工業控制系統正式納入等保的范疇，越來越多的電廠用戶開始著手規劃和開展重要工業控制系統的網絡安全等級保護建設工作。參照典型的信息系統網絡安全等級保護合規性整改建設流程，電廠工業控制系統的等保整改加固工作主要以測評機構的差距測評為依據，針對主要的“高風險項”、“中風險項”采取技術和管理加固措施，最終達到合規目標。等保合規性整改建設的實施作為一個系統性工程，需要在對差距項充分理解的基礎上以合理的設備類技術補償性措施和安全技術服務相結合，不能陷入只要增加網絡安全設備就能合規的誤區。基于威努特在電廠工業控制系統等保建設項目的豐富實施經驗，本文將對電廠工業控制系統等保整改加固項目的典型實施過程進行介紹，并分享一些常見的技術補償性措施實施指標建議，供廣泛電廠用戶和業內人士參考。

1等保整改加固項目基本流程

參照等保2.0的技術規范，電廠工業控制系統的等保建設過程與常規信息系統基本一致，按照定級→備案→整改建設→等保測評→監督檢查的基本過程，由于電廠工業控制系統用戶一般對等保的技術規范和要求不是非常熟悉，因此通常會在系統完成定級后進行等保差距測評，對目前系統中存在的差距項進行評估，并以此為依據制定整改加固方案，按照電廠自身的標準化流程完成安全設備和服務商的選定之后，開始進行系統測評差距項的整改，完成整改后再由等保測評機構進行正式測評，出具測評報告，在主管單位審定合格后即基本完成系統的等保建設階段工作。  

整改加固階段作為整個等保建設的關鍵內容，實施的規范與否決定最終的測評結果。一般的整改加固過程主要包括制定整改加固方案、安全設備和服務商選定、整改加固實施三部分。制定整改加固措施過程中建議咨詢專業的第三方安全公司，一一明確高、中、低風險項整改措施，此過程需要充分評估整改項對于工業控制系統的影響和實施可行性。在安全設備和服務商選定階段建議電廠用戶充分考量其服務資質、施工經驗，且在采購安全設備的同時增加安全服務內容。

整改加固實施盡量選擇在每年的停機維修周期內進行，盡量降低整改加固實施過程中對企業生產的影響，典型的整改加固實施過程包括：辦理進廠→系統勘查→設備調試和安全加固→安全培訓→配合等保測評→辦理離廠。

◇ 辦理進廠手續階段主要對入廠實施人員進行審核（主要核驗人員信息、人身保險、勞保用品等），并進行安全規章制度的學習和培訓，簽署安全管理條例知情書等材料。

◇ 系統勘查階段主要對電廠工業控制系統的現場情況進行現場勘查，確認控制系統電子設備間、中控室等網絡接線、電源、機柜等信息，同時明確工業控制系統上位機、服務器的操作系統版本和應用軟件，網絡設備廠商、型號和版本以及功能支持情況（重點關注網管功能、鏡像端口功能、SYSLOG或SNMP日志功能等），安全設備部署位置、部署方式和IP地址規劃，制定詳細的施工方案。

◇ 設備調試和安全加固階段主要完成安全設備、軟件的部署調試，對部分網絡設備、安全設備、主機操作系統、應用和安全管理制度進行加固和完善，這部分內容需要重點關注是否對工業控制系統造成影響，如修改應用系統或數據庫弱口令等操作可能會影響系統正常運行（可能由于后臺綁定的賬號密碼未修改），整改加固完成后進行差距項的復核和驗證，對部分特殊無法整改的內容進行審定和確認。

◇ 安全培訓階段主要對部署的安全設備和軟件使用運維培訓。

◇ 辦理離廠階段是在全部實施任務完成后辦理離廠手續。  

2等保整改加固實施規范性建議指標

在電廠工業控制系統安全整改加固實施過程中，需要嚴格按照等保差距測評中的風險項進行逐項加固，在差距復核階段進行核驗和說明。以下是針對電廠工業控制系統典型問題項的整改加固規范性建議指標，以及注意事項。

進廠手續規范建議指標

系統勘查規范建議指標

設備調試和安全加固規范建議指標

安全培訓規范建議指標

3結束語

電廠工業控制系統的等保安全整改加固建設實施是一項復雜且系統性的工作，需要平衡工控系統的高可用性要求和安全合規要求。北京威努特技術有限公司作為國內最專業的工控安全解決方案和服務供應商，具有完整的工控安全產品線和完善的安全服務，能夠為廣大電廠用戶工業控制系統提供專業的一站式等保合規性建設方案和服務，保障關鍵生產控制系統安全穩定運行。

文章來源公眾號威努特工控安全